PULSENDAGARNA GDPR. EU:s dataskyddsförordning ÅRETS MÖTESPLATS FÖR INSPIRATION & INNOVATION

Transkript

1 PULSENDAGARNA ÅRETS MÖTESPLATS FÖR INSPIRATION & INNOVATION GDPR EU:s dataskyddsförordning Johan Kronander, Affärsområdeschef, Pulsen Identity & Access Management

2 Reform EU:s dataskyddsregler Kommissionen presenterade den 25 januari 2012 ett förslag till en ny förordning om dataskydd som ersätter dataskyddsdirektivet Direkt tillämplig i samtliga medlemsstater Begränsat utrymme för nationella avvikelser Politisk överenskommelse i december Förordningen trädde i krav 24 maj 2016 Den 25 maj 2018 ska EU:s nya dataskyddsförordning börja tillämpas som direkt lagstiftning i Sverige och ersätter då vår nuvarande lagstiftning om personuppgifter, PUL

3 Syftet med reformen Att skapa en enhetlig tillämpning av reglerna inom EU för att underlätta handeln på den interna marknaden. Ett ökat fokus på integritetsskydd och kontroll över personuppgifter Tillsynsmyndigheten (Datainspektionen) kommer genom dataskyddsförordningen ges möjlighet att i vissa fall döma ut en administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av organisationens globala omsättning

4 Vad menas med personuppgift? Information som går att koppla till en individ Uppenbar information som exempelvis ett namn information som i kombination med andra uppgifter gör det möjligt att identifiera en person Exempel på information som kan bedömas som personinformation: ett namn en postadress en e-postadress platsinformation bankuppgifter ett foto en uppdatering i sociala medier medicinsk information en dators IP-adress

5 Grundläggande principer för personuppgiftsbehandling Endast adekvata, relevanta och nödvändiga uppgifter får behandlas Samtycke eller stöd i förordningen krävs för insamling Incidentrapportering inom 72h Rätt till att få sina uppgifter borttagna Tidsbegränsat Skall skyddas mot obehörig åtkomst Personuppgiftsansvarig ska ansvara för och visa att principerna uppfylls Rätt till att få sina uppgifter flyttade från en organisation till en annan Skall behandlas för ett bestämt ändamål

6 Hur väljer man att agera? 2 år är lång tid Lyft upp frågan om dataskydd som en ledningsfråga Avsätt tid och budgetmedel under 2016 och 2017 Ta extern hjälp tidigt i processen

7 Hur kan man skapa skyddsåtgärder? Begränsa behörigheter Ett system där man manuellt eller automatiserat försöker sätta detaljerade behörigheter genom grupper, roller, attribut, katalogtjänster och databaser Reglera och övervaka Reglera och övervaka med ett regelverk som säger vad du får och inte får göra och då följa en användares handlingar genom övervakning Hög kontroll på vilken information/data en person haft tillgång till Upptäcka mönster och avvikande beteende genom att kontrollera tidpunkt, aktivitet, vilken sorts data Proaktivt förhindra åtkomst och larma om avvikelser LOGGNING

8 Informationskrav, rättsligt stöd för behandling och samtycke Informationskrav och rättligt stöd till den registrerade Informationen ska innehålla tydlig angivelse av: Den rättsliga grunden för behandlingen Ändamålet för behandlingen Hur länge uppgifterna kommer att sparas Information om var den registrerade kan vända sig med klagomål Samtycke Skall vara frivilligt, informerat och otvetydligt Skriftligt eller digitalt (signerat) samtycke Bevisbördan ligger på ansvarig Det skall vara möjligt att lokalisera vart informationen finns lagrad

9 Krav på anmälan och information vid personuppgiftsincident (data intrång) Organisationen måste anmäla händelsen till tillsynsmyndigheten inom 72 timmar. I vissa fall, om incidenten innebär allvarliga risker för den registrerade, krävs även att varje individ informeras. Anmälningskravet innebär att organisationen måste skapa goda och effektiva rutiner vid personuppgiftsincidenter samt öka säkerhetskraven för att undvika att incidenter inträffar. Det måste säkerställas att organisationens ITsystem stödjer sådana funktioner som dels gör det möjligt att snabbt uppmärksamma om en incident har skett, dels möjliggör en snabb överblick över de registrerade och deras uppgifter för att organisationen ska kunna fullgöra sin anmälningsplikt.

10 Organisationens drivkrafter Dataskyddsförordningen driver säkerhet En organisation har två olika drivkrafter; Säkerhet Risker, IT-risker, Behörigheter Ekonomi Effektivisering, Nyttoeffekter, Minskade kostnader För att stå som vinnare krävs en balansgång med att lyckas med åtgärder som ger bättre ekonomi/nytta samtidigt som det skapar en högre säkerhet Metod: strategier, projekt, förbättringar och justeringar

11 IAM Pulsen Integration erbjuder kompletta lösningar inom Identity & Access Management Teknisk rådgivning Förstudier, kravställning och projektering av IAM lösningar Implementation Licensiering Avancerad Support (Pulsen Technical Assistant Center) Inom IAM arbetar vi i med fyra huvudområden Identity Management Access Management Behörighetsuppföljning Loggning LOGGNING BEHÖRIGHETS- UPPFÖLJNING IDENTITY MANAGEMENT ACCESS MANAGEMENT

12 Identity Management Bygg in säkerhet i system och processer från start För att uppfylla säker åtkomst till känsliga personuppgifter i interna/externa system Livcykelhantera interna/externa identiteter och attribut med en Identity Management lösning och tidsbegränsa lagring av personinformation för att uppfylla Rätten att bli glömd och Privacy By Design Lagra inte mer än nödvändigt. Insamling av personuppgifter skall begränsas till det som är nödvändigt för det som uppgifterna skall användas till IDENTITY MANAGEMENT

13 Identity Management Integrera fler system (minska antalet isolerade öar) till identitetslösningen, för att säkerställa uppgiftskvalitet och att personinformation kan adderas och tas bort i fler system samtidigt. Totalintegration krävs inte, utan uppgifter i system kan hanteras genom ett revisionsverktyg Använd information på identiteterna för att styra intelligent åtkomst till säkerkritiska system, vilka innehåller personinformation Fokusera Vilken information är nödvändig? Minimera bra att ha information Tänk på säkerhet i alla led IDENTITY MANAGEMENT

14 Access Management Tillse att tillgång till system med personinformation styrs med hög säkerhet Genomför en riskbedömning och klassificering av system detta styr på vilket sätt som ni behöver skydda er och eventuell skada som databrott kan innebära Inför stark autentisering för administratörer och priviligierade användare Endast användarid + lösenord innebär stor säkerhetsrisk Tänk nödvändig åtkomst till <information> vid <tidpunkt> för att utföra <uppgift> Tidsbegränsad åtkomst Gör er av med unika lösenord och inför SSO till säkerhetskritiska system (och andra system), men även möjlighet till step-up autentisering när det behövs Fokusera på mobilitet och tillgänglighet för slutanvändarna som innebär högre säkerhet vid åtkomst/borttag av access så väl som enkel tillgång till system ACCESS MANAGEMENT

15 Access Management Bygg in situationsbaserad inloggning som utgår ifrån säkerhetsklassning på systemet, inloggningsmetod, plats, IP-adress, historik, enhet, profil etc. Inför federation för att underlätta samverkan på ett säkert sätt mellan två eller flera organisationer där man är överens om en level-of-trust. Automatisera skapande/borttag av åtkomst genom underliggande identitets- och behörighetshantering ACCESS MANAGEMENT

16 Behörighetsuppföljning / Access Governance Upprätta förteckning av vilka system som innehåller personuppgifter med tillhörande risk- & konsekvensanalys Implementera lösning för livscykelhantering av behörigheter (Access Governance) för kontrollerad åtkomst till skyddad personinformation för leva upp till dataskyddsförordningen Inför behörighetsgranskning, där ansvarig får en användaröversikt och nödvändig info för att enkelt avgöra om åtkomst skall tilldelas eller tas bort till Hantera behörigheter genom automation, beställning och självservice BEHÖRIGHETS- UPPFÖLJNING

17 Behörighetsuppföljning / Access Governance Fokusera på säkerhetsklassning på information och antalet användare vid prioritering av vilka system som skall hanteras först och vilka ni ansluter senare Minska risken för otillbörlig åtkomst genom inbyggt skydd där åtkomst automatiskt tas bort vid förändrad tjänst, arbetsuppgift, avslut eller händelse Minska den manuella granskningen och ansluta fler system till ett revisionsverktyg Säkerställ att ni kan påvisa regeluppfyllnad över tid BEHÖRIGHETS- UPPFÖLJNING

18 Loggning Loggning av vem som har loggat in <när>, <varifrån> och från <vad> och <vilken data> som användaren har haft åtkomst till Påvisa spårbarhet till händelser Proaktivt reagera på avvikelser och hindra åtkomst Skapa stöd för att upptäcka och rapportera avvikelser till Datainspektionen Upptäcka avvikelser för att kunna starta en analys Uppföljning med logg påvisa en korrekt kravuppfyllnad Loggning kan även vara ett underlag för att bedöma om en person skall re-certifieras för en behörighet till ett visst system. Ex har man inte använt systemet på en längre kan det vara skäl för borttag av access LOGGNING

19 LOGGNING En bra plan med beredskap och handling Utforma en strategi och handlingsplan för hur verksamheten arbetar med dataskydd IDENTITY MANAGEMENT Kartlägg alla behandlingar av personuppgifter, kontrollera laglighet och sammanställ ett register över behandlingarna (registerför) Utgå från nuvarande situation, genomför en riskanalys, inventera data och säkerhetsrutiner vad saknas? Vad behöver kompletteras? Utse ett personuppgiftsombud (dataskyddsombud) och tillse att denne har nödvändiga resurser för att kunna utföra sitt arbete ACCESS MANAGEMENT När det gäller Myndigheter (kommuner/landsting) så kommer det mer information om hur dessa skall förhålla sig till GDPR, utifrån krock med andra lagstiftningar, krav på att hålla vis information om medborgare men det är en annan fråga gällande hur en organisation skall hantera information om anställda Implementera IT-stöd och rutiner som stödjer förordningen, som effektiverar för er verksamhet och hjälper er att uppfylla GDPR

20 PULSENDAGARNA ÅRETS MÖTESPLATS FÖR INSPIRATION & INNOVATION TACK FÖR ATT NI LYSSNAT! Johan Kronander, Affärsområdeschef, Pulsen Identity & Access Management